通过Easyrsa和Openssl制作自签名证书

当前https被广泛运用于互联网环境，就连百度都改成https的请求了。在https中很重要的一个步骤就是证书验证，证书验证报错单项验证和双向验证，其实说白了就是服务端和客户端相互验证自己的身份，确定对方的合法性，但是双方无论怎样验证都无法避免证书被截获修改的风险，所以还需要一个第三方机构-CA证书机构，譬如最近和google撕逼的塞门铁托，就是著名的CA机构，当然企业为了省钱，完成可以自己给自己的证书签名。下面我就列举两种常用的自签名证书制作过：

Easyrsa

下载，解压，初始化Easyrsa3的补丁版本。

curl -L -O https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz 
tar xzf easy-rsa.tar.gz 
cd easy-rsa-master/easyrsa3 
./easyrsa init-pki

产生一个CA. (–batch设置自动模式。–req-cn使用默认CN。)

./easyrsa --batch "--req-cn=${MASTER_IP}@date +%s" build-ca nopass

产生服务器证书和秘钥。（build-server-full [文件名]：给客户端和服务器生成一个本地的秘钥对和信号）

./easyrsa --subject-alt-name="IP:${MASTER_IP}" build-server-full kubernetes-master nopass

Openssl

也可以用来给你的集群手动生成证书。
使用2048bit生成ca.key：

openssl genrsa -out ca.key 2048

根据ca.key生成ca.crt。(-days设置证书的有效时间)。

openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt

使用2048bit生成server.key：openssl genrsa -out server.key 2048
根据server.key生成server.csr。

openssl req -new -key server.key -subj "/CN=${MASTER_IP}" -out server.csr

根据ca.key，ca.crt和server.csr生成server.crt。

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000

完整流程

上面的例子是我自己搭建一个内部的https的集群所使用的命令，下面我列了一个通用的命令：

openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj \
"/C=国家/ST=州省/L=市/O=公司名称/OU=域名"
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj \
"/C=国家/ST=州省/L=市/O=公司名称/OU=域名/CN=域名"
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

需要注意的是：
1./O字段内容必须与刚才的CA根证书相同；
2./CN字段为公用名称(Common Name)，必须为网站的域名(不带www)；
3./OU字段最好也与为网站域名，当然选择其他名字也没关系。
4.在执行上述命令之前确认你的pki（centos7 默认是/etc/pki/）目录下面有这些文件，如果没有，按照下面的步骤做些准备工作：
mkdir CA
cd demoCA
mkdir newcerts
touch index.txt
echo '01' > serial